[PFSENSE] Proxy Transparente MITM no modo Splice ALL com Squid + E2guardian

Buenas galera, tudo tranquilo?

Hoje venho trazer um tutorial básico de configuração de um proxy transparente com Interceptação SSL no modo Splice ALL com o e2guardian trabalhando no bloqueio através das ACLs.

Esse tutorial é ótimo para:

  • Quem não quer configurar proxy e nem instalar certificado na maquina do usuário;
  • Quem vai utilizar o captiveportal do pfsense para autenticação dos usuários da wifi;


Versão do pfSense
: 2.3.4-RELEASE (amd64)

INSTALAÇÃO DOS PACOTES

SQUID

Instale o squid através do Packager Manager.

 E2GUARDIAN

A instalação do e2guardian e um pouco diferente, pois o pacote não é oficial. Para isso visite o link abaixo e instale de acordo com sua preferência.
https://forum.pfsense.org/index.php?topic=128127.msg706536

CONFIGURAÇÕES DOS PACOTES

SQUID

Vá ate o menu Services e selecione Squid Proxy Server.

Selecione o menu Local Cache e clique em Save.

OBS: Você precisa criar uma CA para ser utilizada no squid. Para isso acesse o menu System > Cert. Manager e na opção Method selecione Create an Internal Certificate Authority. Preencha os campos e salve a CA.

O restante das configurações deixe como mostra as imagens abaixo. Todas são feitas no menu General.

Squid General Settings

pfsense3

Transparent Proxy Settings

pfsense4

SSL Man In the Middle Filtering

pfsense5

Advanced Features

pfsense6

Código utilizado na opção Custon Options (Before Auth):

cache_peer 127.0.0.1 parent 8080 0 login=*:password
always_direct deny all
never_direct allow all

Clique em save.

E2GUARDIAN

Selecione o menu Services > E2guardian Proxy e configure conforme as imagens abaixo.

Aba Daemon

Listening Settings

pfsense7

SSL Verification and Filtering

pfsense8

Clique na opção pfsense10

Advanced Features

pfsense9

Clique em Save.

Aba ACLs

As acls que eu ativei foram nas sub-opção Phrase Lists, Site Lists e Url Lists.

Phrase Lists

pfsense11

Na opção include para incluir mais de uma entrada segure CTRL e selecione a opção. Vá ate o final da pagina e clique em Save.

Site Lists

pfsense12

Na opção include para incluir mais de uma entrada segure CTRL e selecione a opção. Vá ate o final da pagina e clique em Save.

Url Lists

pfsense13

Na opção include para incluir mais de uma entrada segure CTRL e selecione a opção. Vá ate o final da pagina e clique em Save.

O restante das abas eu deixei com as opções default.

No menu Firewall > Rules eu configurei 3 regras apenas para os testes.

pfsense14

Essas configurações já são necessárias para que você tenha seu proxy transparente com Interceptação SSL no modo Splice ALL trabalhando em conjunto com o E2guardian no bloqueio via ACLs.

Agradeço ao Marcello Coutinho (marcelloc) pela ajuda no forum do pfSense e por disponibilizar grandes ferramentas para facilitar nosso trabalho.

Grande Abraço,

 

Anúncios

12 comentários em “[PFSENSE] Proxy Transparente MITM no modo Splice ALL com Squid + E2guardian

  1. Elias,

    Bom dia!

    estava lendo este artigo no forum do PFsense. E gostaria de entender melhor. Essa seria uma ferramenta, de filtro de conteudo, tipo o squigard? para funcionar o filtro de ssl, nao teria que estar setado o proxy no navegador?

    Curtir

    1. Buenas Diego,

      Sim, ferramenta de filtro de conteúdo. O squidguard parece estar desatualizado a anos e o e2guardian parece estar mais maduro e possivelmente vai substituir o squidguard. Tu pode utlizar ele com wpad, proxy setado manualmente, etc, mas também pode utilizar ela juntamente com o squid configurado como proxy transparente com Interceptação SSL no modo Splice ALL. Dessa forma não necessita configurar nada no cliente. Dê uma olhada no link abaixo.
      http://wiki.squid-cache.org/Features/SslPeekAndSplice

      Curtido por 1 pessoa

  2. Elias,

    Bom dia!

    Depois de vários testes, estou muito interessado em colocar em produção, porem meus testes todos foram em laboratório virtual, aqui na empresa se utiliza muito smartphone, você já tem noticia do comportamento dos mesmos com esse filtro?

    abraço!

    Curtir

    1. Olá DIEGOVAZARAUJO,

      Essa é a unica forma que a principio que a comunicação dos smartphones é interceptada. Você pode utilizar essa forma para toda a sua rede ou pode deixar somente habilitado para uma subrede/vlan direcionada aos usuários de smartphones.

      Curtir

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s